Organisaation olisi perustettava ja ylläpidettävä valtuutusrekisteriä, jossa dokumentoidaan kaikki myönnetyt käyttöoikeudet. Rekisteriin olisi kirjattava kustakin valtuutuksesta käyttäjä, myönnetyt oikeudet, käyttöoikeuden hyväksynyt henkilö ja myöntämispäivä. Tämä rekisteri toimii keskitettynä pisteenä käyttöoikeuksien tarkastusta ja hallintaa varten.

Jokaisen valtuutuksen osalta rekisterissä olisi selvitettävä käyttöoikeuden tarkoitus ja siihen liittyvä rooli. Rekisteriin olisi kirjattava, milloin valtuutus on myönnetty ja milloin se on peruutettu. Rekisterissä olisi yksilöitävä käyttäjän organisaatio ja täsmennettävä, onko hänellä oikeus käyttää terveystietoja ulkopuolisissa organisaatioissa. Omakohtainen valtuutus olisi perusteltava, jos se on sallittu.

Tietojärjestelmästä vastaava taho määrittää järjestelmän käyttöoikeudet käyttäjien tehtäviin liittyen. Todellisten käyttöoikeuksien vastaavuutta suunniteltuun on valvottava ja oikeuksia uudelleenarvioitava säännöllisin aikavälein.

Pääsyoikeuksia katselmoitaessa on huomiotava lisäksi ylläpito-oikeuksien minimointi sekä tarpeettomien tunnusten sulkeminen.

Organisaatiolla tulisi olla määritelly ohjeet tietojärjestelmien yleisesti hyväksyttävälle käytölle sekä tarvittavien tunnistautumistietojen hallinnalle.

Tärkeäksi luokiteltujen tietojärjestelmien omistaja voi lisäksi määritellä, dokumentoida ja jalkauttaa tarkempia sääntöjä juuri tämän tietojärjestelmän käytöstä. Nämä saannöt voivat kuvata mm. tietoturvavaatimukset, jotka järjestelmän sisältävään tietoon liittyvät.

Organisaatio on määritellyt luottamuksellisen tiedon käsittelyalueet sekä toimintasäännöt, joita noudatetaan kaikessa luottamuksellisen tiedon käsittelyalueilla tapahtuvassa toiminnassa.

Toimintasäännöissä tulisi harkita seuraavien seikkojen huomiointia:

• säännöistä ja liittyvistä alueista tiedotetaan ainoastaan henkilöstöä, jolle tieto on relevanttia
• valvomaton työ alueilla minimoidaan
• alueet ovat fyysisesti lukittuja ja ne tarkastetaan säännöllisesti
• valtuuttamattomien tallennuslaitteiden (mm. puhelimet, videokamerat) kieltäminen
• päätelaitteiden kuljettamisen valvominen
• hätätilanneohjeiden julkaiseminen helposti saatavilla olevalla tavalla

Organisaatio toteuttaa roolipohjaista pääsynhallintaa, jossa on ennakkoon määritetty eri suojattavalle omaisuudelle pääsyoikeusroolit, jotka oikeuttavat pääsyn. Roolien tiukkuuden tulisi heijastaa omaisuuteen liittyviä tietoturvariskejä.

Määrittelyn tueksi pitää harkita seuraavia asioita:

• kuinka laajoihin tietoihin kukin käyttäjä tarvitsee pääsyn
• kuinka laajasti käyttäjän tulee pystyä muokkaamaan tietoja (luku-, kirjoitus-, poisto-, tulostamis-, suorittamisoikeus)
• onko muilla sovelluksilla pääsyä tietoihin
• voidaanko tietoja eriyttää omaisuuden sisällä niin, että arkaluonteiset tiedot paljastuvat vähemmän

Ylläpito-oikeuksia hallitaan muodollisen prosessin avulla, jonka tavoitteena on rajata ylläpito-oikeuksien jakamista ja valvoa käyttöä.

Ylläpito-oikeuksiin liittyen:

• on määritely vanhenemista koskevat vaatimukset
• ylläpito-oikeudet myönnetään vain muille kuin normaaliin arkikäyttöön käytettäville käyttäjätunnuksille
• normaalia arkikäyttöä ei saa suorittaa ylläpito-oikeuksilla varustetulla käyttäjätunnuksella

Korkean luottamuksellisuuden käyttöoikeuksiin liittyvien käyttöoikeuksien myöntämisen organisaatiossa voi hyväksyä vain kyseisen korkean luottamuksellisuuden omaavan tiedon sisäinen omistaja.

Varmistaakseen valtuutettujen käyttäjien pääsyn järjestelmiin ja estääkseen luvattoman pääsyn, organisaatio on määritellyt muodolliset prosessit seuraaviin asioihin:

• Käyttäjien rekisteröinti ja poistaminen
• Pääsyoikeuksien jakaminen
• Pääsyoikeuksien uudelleenarviointi
• Pääsyoikeuksien poistaminen tai muuttaminen

Näiden asioiden toteuttaminen tulee toteutua aina määritellyn, muodollisen prosessin kautta.